Imperva Incapsula F5 Silverline Nexusguard Always-on On-demand Radware Akamai Mirai 台灣大哥大 數位通國際 Arbor 中華電信 遠傳電信 DDoS 物聯網 IoT Tb級

採行多層次防禦架構 助券商抗DDoS奏功

2017-03-02
現代企業或組織欲因應DDoS攻擊威脅,首先必須先擬定防禦與應變作業程序,其中包含事前準備、事中應變、事後檢討的執行項目。中華電信資通安全處處長洪進福指出,在事前準備期間,中華電信可提供平時DDoS攻防演練服務,模擬實際攻擊流量讓客戶持續改善應變能力。
在攻擊發生當下與事後,則可透過中華電信提供的DDoS防護服務,以多層次防禦架構予以緩解,其中包含HiNet SOC 7×24小時的專業人力主動監控訊務,以及執行導入清洗區域,進行規則式攻擊流量過濾、行為模式阻擋、連線數量控制、攻擊分析及客製化防護等防禦措施。

▲ 中華電信資通安全處處長洪進福表示,針對日前多家證券商同時遭到DDoS勒索攻擊,中華電信即於第一時間成立網路資安緊急應變中心,有效提供多家券商緊急防護服務,並強化NOC/SOC監控,也提高網路邊界的防護力。
所謂的多層次防禦,洪進福說明,即是從網路對外接取邊界、骨幹,到客戶共通接取區域(Edge),皆具有對應的作法分段抵抗DDoS攻擊。在邊界層,首先主要是偕同連外海纜另一端接取的Tier-1運營商業者執行攔阻,先行阻絕於境外,以免攻擊訊務佔用海纜頻寬,影響整體網路正常傳輸;其次是透過邊界路由器執行邊境管制,也就是在機房設備端攔截攻擊來源IP的訊務;一旦攻擊流量進入到中華電信骨幹環境,SOC透過佈建的感知器偵測發現異常訊務時,會發出告警通知,並將訊務重新導向到DDoS進階防護區執行清洗措施,避免攻擊流量影響正常企業用戶。

中華電信之所以聯合邊界、骨幹、客戶共通接取區域,建立多層次防禦架構,主要即是為了因應現代每秒已達到Tb等級的DDoS攻擊量。「從過去的經驗來看,殭屍網路流量通常來自特定區域,因此當大量湧入時,可先在境外阻絕攻擊來源,再透過邊境管制、境內管制分層攔阻,萬一仍有漏網之魚,最後還可導向進階防護區清洗。如此一來,才得以讓企業遭受大規模DDoS攻擊時,營運業務不致停擺,讓正常流量得以順利存取。」

所謂DDoS進階防護區域,是基於專屬設備來執行隔離或過濾,單一客戶可配置的最大承載量為每秒30GB,採以三種方式實作。首先是Always-on,訊務皆經過清洗檢查確認安全後才放行。洪進福觀察,願意接受如此嚴謹規格的用戶,多數是已被駭客組織鎖定攻擊的產業。

其次是On-demand方式,又區分為自動切換與被動執行。前者是當SOC監看發現攻擊行為時,防禦機制立即啟動導向清洗區;後者則是客戶端自行發現攻擊後確認通報才執行。但不論是自動或被動模式,公開牌價的費用每月皆不超過50萬元,以保護更多預算有限的用戶。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!